Investigación técnica

Vulnerabilidades reales.
Documentadas.

Análisis técnico de las vulnerabilidades que encontramos en infraestructura real del NOA y Argentina. Sin relleno. Sin teoría abstracta. Solo lo que existe y cómo explotarlo — y cerrarlo.

$ curl -s -X POST https://target.com/xmlrpc.php \
  -d '<methodCall><methodName>system.listMethods</methodName></methodCall>'
 
[+] Response: 200 OK
[!] 82 methods exposed
[!] wp.getUsersBlogs — sin auth
[!] wp.getPages — sin auth
[✗] system.multicall — brute force vector
 
$ _
WordPress Mar 2026

xmlrpc.php:
la puerta trasera que el 80% de los sitios WordPress tiene abierta

Lo encontramos activo en más de 5 dominios durante nuestros análisis en la región. Un endpoint heredado de 2002 que WordPress sigue habilitando por defecto — y que permite fuerza bruta, DDoS y enumeración de usuarios sin autenticación previa.

// 8 min de lectura Leer análisis →
// Todos los artículos
Alto
Enumeración de usuarios via /wp-json — sin tocar el login

La REST API de WordPress expone nombres de usuario reales a cualquiera que haga un GET. Vemos cómo funciona, por qué importa y cómo deshabilitarlo.

Mar 2026
Medio
DMARC ausente: cómo cualquiera puede enviar mails desde tu dominio

Sin DMARC configurado, un atacante puede enviar emails que parecen venir de vos. Lo encontramos en la mayoría de las PyMEs que analizamos. Esta es la solución en 10 minutos.

Mar 2026
Crítico
IDOR en sistemas médicos: accediendo a historiales ajenos con un número

Insecure Direct Object Reference — el tipo de vulnerabilidad que permite cambiar un ID en la URL y ver datos de otro paciente. Anatomía de un hallazgo real.

Próximamente
Info
Reconocimiento pasivo: qué puede saber un atacante de tu empresa sin tocarla

Antes de cualquier ataque hay reconocimiento. Subdominios, tecnologías, empleados, correos — todo visible desde Google si sabés dónde mirar.

Próximamente
Crítico
SQL Injection CVSS 9.8 en ERP regional: 100.000 usuarios expuestos

Análisis técnico de una inyección SQL crítica en un sistema ERP utilizado por múltiples ISPs argentinos. Desde el descubrimiento hasta la notificación responsable.

Próximamente
Alto
PACS sin HTTPS: imágenes médicas viajando en texto plano por internet

Sistemas de imágenes diagnósticas (TAC, RMN, radiografías) accesibles sin cifrado. Lo que encontramos en clínicas del NOA y por qué es un problema legal además de técnico.

Próximamente